浙江省电子商务网站建设通信工程企业网站建设

浙江省电子商务网站建设,通信工程企业网站建设,网站建设 深圳,网站速度优化虚拟专用网络配置全解析1. 基础概念隧道服务器#xff08;Tunnel server#xff09;#xff1a;指互联网上隧道服务器的域名或 IP 地址#xff0c;以及处理隧道流量的端口#xff08;默认 3265#xff09;。第一防火墙#xff08;First firewall#xff09;#xff1a…虚拟专用网络配置全解析1. 基础概念隧道服务器Tunnel server指互联网上隧道服务器的域名或 IP 地址以及处理隧道流量的端口默认 3265。第一防火墙First firewall对于单个远程 PC 通常不使用因为流量在到达远程防火墙之前是透明的。一般是最终用户的 ISP出站隧道流量可透明通过。在作为出站隧道客户端的 Extranet 服务器上该参数列出局域网与互联网之间本地防火墙的地址和端口默认 3265。第二防火墙Second firewall是要访问的专用网络的物理地址和隧道端口是隧道流量的第一个目的地流量从防火墙上的隧道端口转发到 Extranet 服务器上的隧道端口进行验证。2. AltaVista 与 VPNAltaVista 的灵活性使企业能够接受来自远程局域网或远程单台机器连接的多个隧道会话到虚拟专用局域网。不过单连接到局域网和局域网到局域网/局域网到广域网的 AltaVista 隧道实现配置略有不同。3. 局域网到局域网隧道配置3.1 示例配置有两个局域网-LAN 1企业办公室通过完整 T1 连接到互联网由防火墙保护。局域网上有四台机器AltaVista Extranet 服务器、财务、人力资源和研发。-LAN 2远程销售办公室运行第二个 AltaVista Extranet 服务器和三台主机。通过 128Kbps ISDN 连接到互联网由防火墙保护。在此示例中LAN 1 是入站隧道组LAN 2 是出站隧道组。3.2 隧道服务器配置LAN 1入站隧道网络路由表将所有传入隧道流量路由到其本地网络地址范围1.195.6.。| 子网 | 网络掩码 | 描述 || ---- | ---- | ---- || 1.195.6.| 255.255.255.0 | 本地隧道客户端 |动态 IP 表为隧道伪适配器分配 IP 地址1.196.5.1 分配给自身端的隧道伪适配器1.196.5.2 分配给 LAN 2 隧道服务器的伪适配器。| 范围名称 | 范围描述 | 第一个 IP | 总隧道数 | 网络掩码 || ---- | ---- | ---- | ---- | ---- || 销售隧道 | 区域销售办公室隧道 | 1.196.5.1 | 1 | 255.255.255.252 |认证表组用户名是 LAN 2密码是 WHO$there提取到名为 lan2.eta 的 ETA 文件通过安全 FTP 会话分发到 LAN 2 的隧道服务器。密钥文件由 LAN 1 的隧道服务器创建默认名为 lan2.key也通过安全 FTP 会话分发。LAN 2出站隧道网络隧道名称销售隧道描述区域销售办公室隧道网络地址本地 IP 地址为 1.196.5.2远程 IP 地址为 1.196.5.1路由表将本地主机的流量路由到隧道的虚拟 IP 地址默认路由来自网络 2.15.1.*网络掩码为 255.255.255.0主机名远程主机的物理 IP 地址是 1.195.6.2默认隧道流量端口是 3265第一防火墙设置为 2.15.1.1默认隧道流量端口为 3265第二防火墙LAN 1 防火墙在其互联网接口上的地址 1.195.6.1默认隧道流量端口为 3265服务器密钥 IDlan2.key3.3 防火墙配置LAN 1将端口 3265 上收到的、发往网络 1.196.5.* 的所有隧道流量转发到 LAN 1 隧道服务器的物理 IP 地址 1.195.6.2。LAN 2将所有发往隧道网络1.196.5.*的流量转发到 LAN 2 隧道服务器的物理 IP 地址 2.15.1.2。3.4 主机配置LAN 1三台主机财务、人力资源和研发先将流量路由到防火墙1.195.6.1然后防火墙将隧道流量转发到隧道服务器。LAN 2两台主机将 2.15.1.1 作为所有网络流量的默认路由。3.5 VPN 上的路由graph LR A[LAN 2 主机] --|静态路由| B[LAN 2 防火墙 2.15.1.1] B --|默认路由| C[LAN 2 隧道服务器 2.15.1.2] C --|虚拟 IP 1.196.5.2| D(互联网) D --|端口 3265| E[LAN 1 防火墙 1.195.6.1] E --|端口 3265| F[LAN 1 隧道服务器虚拟 IP 1.196.5.1] F --|物理 IP| G[LAN 1 财务服务器]流量从 LAN 2 主机到 LAN 1 财务服务器的过程如下1. LAN 2 主机将发往隧道网络1.196.5.*的流量通过静态路由直接路由到防火墙2.15.1.1。2. LAN 2 防火墙将所有隧道网络流量通过默认路由转发回 LAN 2 隧道服务器2.15.1.2。3. LAN 2 隧道服务器将所有隧道流量路由到其隧道伪适配器端1.196.5.2并通过互联网传输。4. LAN 1 防火墙在端口 3265 接收流量将该端口的所有流量转发到本地网络上隧道服务器的虚拟 IP1.196.5.1。5. 经过初始安全验证过程后隧道服务器每 30 分钟重新生成一次会话密钥然后隧道流量继续传输。6. 来自 LAN 2 主机的流量被路由到 LAN 1 隧道服务器的虚拟 IP 再到其物理 IP最后到达财务服务器。4. 单连接到局域网隧道配置4.1 示例配置PC 为 Windows 95 机器通过 64 - Kbps ISDN 连接到互联网运行 AltaVista 隧道远程办公客户端。企业局域网通过分数 T1256 Kbps连接到互联网运行 AltaVista 隧道 Extranet 服务器为两个主机主机 1 和 2提供隧道连接。4.2 隧道服务器配置路由表将所有隧道会话路由到本地局域网的物理网络 1.195.6.。| 子网 | 网络掩码 | 描述 || ---- | ---- | ---- || 1.195.6.| 255.255.255.0 | 本地主机 |动态 IP 表动态 IP 范围从 1.196.5.1 开始包含一个 C 类网络255 个地址。| 范围名称 | 范围描述 | 第一个 IP | 总隧道数 | 网络掩码 || ---- | ---- | ---- | ---- | ---- || 销售隧道 | 远程隧道客户端 | 1.196.5.1 | 128 | 255.255.255.0 |认证表组名是销售密码是 Bubba提取到名为 sales.eta 的 ETA 文件通过软盘分发给各个隧道客户端。密钥文件由企业局域网的隧道服务器创建默认名为 sales.key也通过软盘分发。4.3 防火墙配置本地防火墙将所有外部隧道请求到达 1.195.6.1 端口 3265 的请求转发到隧道服务器的物理 IP 地址 1.195.6.2端口 3265。4.4 本地主机配置企业局域网上的主机将 1.195.6.2 作为默认路由发往隧道的流量通过隧道服务器的虚拟 IP 传输其他发往本地网络外部的流量通过防火墙到互联网。4.5 远程 PC 配置用户名销售服务器密钥 IDsales.key隧道服务器物理 IP 地址是 1.195.6.2隧道流量端口为 3265第一防火墙未使用第二防火墙远程局域网防火墙的 IP 地址是 1.195.6.1隧道流量端口为 32654.6 数据包跟踪graph LR A[远程 PC] --|ISP| B(互联网) B --|端口 3265| C[远程防火墙 1.195.6.1] C --|物理 IP 1.195.6.2| D[隧道服务器] D --|虚拟 IP 1.196.5.2| E[远程 PC 伪适配器] D --|虚拟 IP 1.196.5.1| F[本地网络 1.195.6.*]过程如下1. 远程 PC 通过 AltaVista 隧道远程办公客户端发起隧道请求请求通过最终用户的 ISP 透明传输发往远程防火墙在互联网上的 IP 接口1.195.6.1的隧道端口 3265。2. 远程防火墙将该端口收到的所有流量转发到隧道服务器的物理 IP 地址1.195.6.2。3. 隧道服务器根据认证表检查认证信息使用远程客户端的私钥加密回复并发送回远程客户端远程客户端用其私钥解密回复。4. 双方交换会话密钥sales.key的部分内容组合形成秘密会话密钥。5. 隧道服务器为远程客户端的伪适配器分配虚拟 IP 地址 1.196.5.2自身将 1.196.5.1 作为该隧道会话的伪适配器接口。6. 当第二个远程 PC 连接时新隧道从隧道服务器的动态范围分配第二对 IP 地址。隧道服务器每 30 到 1440 分钟重新生成秘密会话密钥并透明分发给远程客户端。5. PC 到广域网隧道配置5.1 示例配置企业广域网由两个连接到路由器的子网组成每个子网有几台主机其中一个子网有 AltaVista 隧道 Extranet 服务器。广域网通过 T1 连接到互联网由标准防火墙保护。远程用户是运行 AltaVista 隧道远程办公客户端的客户端计算机通过不同的互联网服务提供商连接到互联网。5.2 隧道服务器配置路由表隧道服务器有两个单独的路由表用于在两个子网之间引导流量均为动态隧道 IP 地址的默认路由。| 路由表 | 子网 | 网络掩码 | 描述 || ---- | ---- | ---- | ---- || 路由表 1 | 1.195.6.| 255.255.255.0 | 销售子网 || 路由表 2 | 1.195.7.| 255.255.255.0 | 支持子网 |动态 IP 表动态 IP 范围从 1.196.5.1 开始包含一个 C 类网络255 个地址。| 范围名称 | 范围描述 | 第一个 IP | 总隧道数 | 网络掩码 || ---- | ---- | ---- | ---- | ---- || 销售隧道 | 远程隧道客户端 | 1.196.5.1 | 128 | 255.255.255.0 |认证表组名是销售/支持密码是 WHO$listenen提取到名为 salsup.eta 的 ETA 文件通过软盘分发给各个隧道客户端。密钥文件由企业局域网的隧道服务器创建默认名为 salsup.key也通过软盘分发。5.3 广域网路由器配置广域网路由器的功能是在两个子网销售和支持之间路由网络流量所有主机的默认路由指向路由器。路由器还将虚拟网络1.196.5.*的隧道流量路由到 1.195.6.2 端口 3265 的隧道服务器。5.4 防火墙配置本地防火墙将所有外部隧道流量到达 1.195.6.1 端口 3265 的流量转发到广域网路由器的 1.195.6.5 接口广域网路由器再将流量路由到隧道服务器。5.5 网络主机配置1.195.6.子网和 1.195.7.子网的所有主机都将默认路由指向广域网路由器。5.6 远程客户端配置远程 PC 客户端的配置与单连接到局域网隧道的配置类似不同之处在于 ETA 和密钥文件的名称这里使用 salsup.eta 和 salsup.key 文件。5.7 数据包跟踪graph LR A[远程 PC] --|ISP| B(互联网) B --|端口 3265| C[远程防火墙 1.195.6.1] C --|接口 1.195.6.5| D[广域网路由器] D --|物理 IP 1.195.6.2| E[隧道服务器] E --|虚拟 IP 1.196.5.2| F[远程 PC 伪适配器] E --|虚拟 IP 1.196.5.1| G[广域网路由器] G --|子网路由| H[销售或支持子网]过程如下1. 远程 PC 通过 AltaVista 隧道远程办公客户端发起隧道请求请求通过最终用户的 ISP 透明传输发往远程防火墙在互联网上的 IP 接口1.195.6.1的隧道端口 3265。2. 远程防火墙将该端口收到的所有流量转发到广域网路由器的接口1.195.6.5。3. 广域网路由器将流量路由到隧道服务器的物理 IP 地址1.195.6.2端口 3265。4. 隧道服务器根据认证表检查认证信息使用远程客户端的私钥加密回复并发送回远程客户端远程客户端用其私钥解密回复。5. 双方交换会话密钥salsup.key的部分内容组合形成秘密会话密钥。6. 隧道服务器为远程客户端的伪适配器分配虚拟 IP 地址 1.196.5.2自身将 1.196.5.1 作为该隧道会话的伪适配器接口收到该 IP 地址的流量将路由到广域网路由器进行进一步路由。7. 当第二个远程 PC 连接时新隧道从隧道服务器的动态范围分配第二对 IP 地址。隧道服务器每 30 到 1440 分钟重新生成秘密会话密钥并透明分发给远程客户端。总结不同类型的虚拟专用网络隧道配置如局域网到局域网、单连接到局域网、PC 到广域网等各有其特点和适用场景。在实际应用中需要根据具体的网络架构和需求来选择合适的配置方式。通过合理配置隧道服务器、防火墙、路由器和主机等设备可以实现安全、高效的网络通信。同时数据包跟踪过程展示了数据在网络中的传输路径和安全验证机制确保了数据的保密性和完整性。